„DDoS“ atakos gali sutrikdyti įprastą organizacijos darbą, o jos internetinę svetainę ir paslaugas padaryti neprieinamomis naudotojams. Tokie piktavališki kibernetiniai nusikaltimai yra viena iš pagrindinių kibernetinio saugumo problemų. Skaitykite toliau ir sužinokite, kas yra „DDoS“ atakos, kaip jos veikia ir kaip nuo jų apsisaugoti.
Paskirstytojo paslaugos trikdymo (angl. Distributed Denial-of-Service, „DDoS“) ataka yra kibernetinis nusikaltimas, kurio metu įsilaužėliai siunčia daugybę netikrų užklausų į serverį, paslaugą ar tinklą, kad naudotojai negalėtų pasiekti svetainės ir naudoti paslaugos. Tai yra tarsi eismo kamštis, kurio metu pagrindinis kelias perpildomas įsilaužėlių siunčiamų automobilių ir kiti eismo dalyviai į jį nebegali patekti iš šalutinių kelių.
„DDoS“ ataka sutrikdo įprastą serverio arba svetainės, į kurią ji nukreipta, veikimą. Ji išsemia taikinio duomenų apdorojimo resursus, todėl svetainė arba paslauga sulėtėja, nebereaguoja arba tampa visiškai nepasiekiama teisėtiems naudotojams. Tačiau kaip tiksliai veikia „DDoS“ atakos?
„DDoS“ atakos yra galingos, nes joms įgyvendinti naudojami keli kompiuteriai ar kiti įrenginiai. Įsilaužėlis sukuria tinklą užkrėsdamas įrenginius, paversdamas juos botais ir nuotoliniu būdu juos visus nukreipdamas vienu konkrečiu IP adresu. Dėl to atakuojama paslauga gali nebeveikti.
„DDoS“ atakos gali trukti ilgiau nei 24 valandas ir jas sunku susekti. Jūsų kompiuteris gali būti naudojamas kaip marionetė, kuri slapta atliks kenkėjiškas komandas, o jūs to net nežinosite. Vieninteliai tai išduodantys požymiai gali būti visiškai sulėtėjęs įrenginio veikimas arba jo perkaitimas. Taikinį bombarduojantis duomenų srautas keliaus iš teisėtų (nors ir užkrėstų) įrenginių. Todėl bus dar sunkiau atskirti, ar duomenų srautas yra kenkėjiškas. Tuo tarpu „PDoS“ (angl. Permanent Denial-of-Service) ataka sukelia tik tiesioginę žalą aparatinei įrangai ir ją kur kas lengviau pastebėti.
„DDoS“ atakos gali būti nukreiptos į konkretų tinklo ryšio komponentą ar jų derinius. Kiekvienas internetu veikiantis ryšys keliauja per OSI modelio lygmenis. Dauguma „DDoS“ atakų įvyksta toliau nurodytuose trijuose lygmenyse:
Paslaugos trikdymo (angl. Denial-of-Service, „DoS“) atakos metu į serverį siunčiamas didžiulis duomenų srautas, todėl nebegalima naudoti paslaugos arba svetainės. „DoS“ yra sistemų sistemos ataka, kurios metu naudojama viena sistema konkrečiai paslaugai užpulti. Skirtingai nei „DoS“ atveju, „DDoS“ metu naudojami keli kompiuteriai ir sistemos taikiniui užpulti.
Kuo greičiau aptiksite „DDoS“ ataką, tuo didesnė tikimybė, kad ją sustabdysite. Toliau pateikiami pagrindiniai „DDoS“ atakos požymiai.
„DDoS“ atakos būna skirtingos. Jos skiriasi sudėtingumu, trukme ir įmantrumu.
TCP ryšio atakos, dar vadinamos SYN antplūdžiais, vyksta tuomet, kai niekada nepabaigiamas trikryptis TCP procesas tarp pagrindinio įrenginio ir serverio. Šios atakos metu procesas inicijuojamas, tačiau įsilaužėlis sukelia serverio strigimą ir palieka atvirus prievadus. Tai reiškia, kad serveris nebegali priimti jokių kitų užklausų. Įsilaužėlis ir toliau inicijuoja procesus, kol galiausiai serveris nebeveikia.
Talpinės atakos yra dažniausiai pasitaikantis „DDoS“ atakų tipas. Jų metu išnaudojamas visas taikinio ir interneto pralaidumas. To dažnai siekiama naudojant botnetus arba nukreipiant juos į konkretų taikinį.
Vienas iš būdų, kuriuos naudoja įsilaužėliai vykdydami talpinę ataką, yra aukos IP adreso suklastojimas ir kelių užklausų siuntimas į atvirą duomenų vardų sistemos (angl. Domain Name System, DNS) serverį. Ataka suplanuojama taip, kad DNS serveriui sureagavus taikiniui būtų siunčiama daugiau duomenų nei jis gali apdoroti.
Internetu siunčiamas duomenų srautas suskirstomas į duomenų paketus. Jie keliauja ir yra skirtingai iš naujo perskirstomi atsižvelgiant į tai, kuris protokolas naudojamas – TCP ar UDP transportavimo protokolas. Fragmentavimo atakos metu siunčiami netikri duomenų paketai, kurie iškraipo duomenų srautą ir perpildo serverį.
Vienas iš fragmentavimo atakos pavyzdžių yra „per didelio paketų kiekio“ naudojimas. Tinklas užtvindomas per dideliu nepilnų, fragmentuotų paketų kiekiu.
Programėlės lygmens arba 7 lygmens atakos, kaip nurodoma pačiame pavadinime, yra nukreiptos į programėles. Tai yra tas lygmuo, kuriame serveris generuoja svetaines ir atsako į HTTP užklausas. Tokios atakos serveriui yra panašios į daug kartų tame pačiame puslapyje spaudžiamą atnaujinimo mygtuką. Toks duomenų srautas atrodo teisėtas tol, kol serveris perpildomas ir jau būna per vėlu. Be to, šios atakos yra ne tokios brangios ir sunkiau aptinkamos nei tinklo lygmens atakos.
„DDoS“ sustiprinimo atakos metu kibernetiniai nusikaltėliai taikosi į saugumo spragas DNS serveriuose. Jų metu mažos užklausos paverčiamos didžiulėmis (todėl ir vadinama sustiprinimu), sumažinamas taikinio pralaidumas ir veiksmingai trikdomi atakuojamo serverio procesai. Yra dviejų tipų sustiprinimo atakos – DNS atspindėjimo ir „CharGEN“ atspindėjimo.
DNS serverio darbas yra ieškoti bet kokio paieškos juostoje įvesto domeno vardo IP adreso. DNS atspindėjimo atakos metu įsilaužėlis nukopijuoja aukos IP adresą ir siunčia užklausas DNS serveriui, prašydamas plačių atsakymų. Atsakymai gali būti iki 70 kartų didesni nei įprastai ir akimirksniu perpildyti taikinį.
Remiantis interneto standartais, „CharGEN“ yra pasenęs protokolas, sukurtas 1983 m. klaidų taisymo ir testavimo tikslais. Deja, daug prie interneto prijungtų spausdintuvų ir kopijavimo aparatų vis dar naudoja šį protokolą, tad įsilaužėliai naudojasi daugeliu dėl „CharGEN“ amžiaus atsiradusių spragų. Aukos IP adresu prisidengęs įsilaužėlis siųs daugybę mažyčių duomenų paketų ten, kur naudojamas „CharGEN“ protokolas. Tada įrenginys perpildys aukos sistemą UDP (vartotojo paketų kelio schemos protokolo) atsakymais, o užpultas serveris bus perpildytas ir paleistas iš naujo arba atjungtas.
Technologijos modernėja, o saugos sistemos kasmet tampa vis įmantresnės. Tas pats pasakytina ir apie joms sutrikdyti naudojamus įrankius. Lyginant atakų galingumą nuo 1990-ųjų iki šiuolaikinio „DDoS“ standarto, skirtumas tiesiog pribloškia.
1990-aisiais vidutinė „DDoS“ ataka vargiai viršijo 150 užklausų per sekundę. Palyginkite šiuos duomenis su neseniai vykusia didžiausia užfiksuota sėkminga „DDoS“ ataka, būtent 2018 m. „GitHub“ ataka, kai svetainę užtvindė 1,35 terabito duomenų srauto per sekundę. Ataka svetainės veikimą sutrikdė tik laikinai ir truko tik 8 minutes.
„DDoS“ atakos vykdomos dėl įvairių priežasčių. Toliau pateikiame keletą iš jų.
Pastaraisiais metais įvyko daugybė į verslą nukreiptų „DDoS“ atakų. Jos skyrėsi sunkumu ir sukeltais nuostoliais. Toliau aprašomos trys itin piktavališkos atakos.
Didžiausia „DDoS“ ataka įvyko 2017 m. ir ji buvo nukreipta į „Google“ paslaugas. Buvo užpulta 180 000 svetainių, kurios siuntė savo atsakymus „Google“. Ši kibernetinė ataka pasiekė 2,54 TB/s dydį. Turint omenyje, kad įprastos „DDoS“ atakos yra matuojamos GB/s (gigabitais per sekundę), ataka, kurios apimtis buvo matuojama TB/s (terabitais per sekundę), buvo tūkstančius kartų didesnė ir galėjo perpildyti net ir didžiausių įmonių paslaugas internete. Ataka tariamai galėjo būti vykdoma Kinijos remiamų jėgų pastangomis.
2020 m. milžiniška „DDoS“ ataka smogė „Amazon“ paslaugoms internete. Ji buvo nukreipta į neidentifikuotą klientą ir laikoma viena piktavališkiausių „DDoS“ atakų istorijoje. Naudodami trečiųjų šalių serverius, užpuolikai padidino į vieną IP adresą siunčiamų duomenų kiekį iki 70 kartų. Ši ataka pasiekė 2,3 TB/s dydį.
„Cloudflare“ pranešė apie numalšintą 15,3 mln. užklausų per sekundę „DDoS“ ataką, kuri buvo nukreipta į kriptovaliutų paleidimo platformą valdantį klientą. Atakoje buvo naudojamas botnetas, jungiantis maždaug 6 000 atskirų įrenginių 112 šalių. Šiai atakai užpuolikai naudojo saugų ir šifruotą HTTPS ryšį.
Daugelyje šalių naudoti „DDoS“ atakas yra neteisėta. Pvz., JAV „DDoS“ ataka gali būti laikoma federaliniu nusikaltimu ir už tai gali grėsti baudos arba įkalinimas. Daugumoje Europos šalių už „DDoS“ atakų vykdymą gresia suėmimas, o JK už tokios atakos inicijavimą galite būti nuteisti iki 10 metų kalėjimo.
„DDoS“ atakas susekti yra sunku, nes dauguma jų yra paskirstytos per šimtus ar tūkstančius kitų įrenginių. Be to, atakas inicijuojantys asmenys paprastai įdeda daug pastangų, kad nebūtų surasti.
„DDoS“ atakas įmanoma nustatyti, kai jos vykdomos naudojant tam tikrus kibernetinio saugumo įrankius duomenų srautui analizuoti. Tačiau dažniausiai jau būna per vėlu jas sustabdyti. Geriausiu atveju galima išanalizuoti duomenis ir ateityje imtis atitinkamų kibernetinio saugumo pokyčių.
Paprastai „DDoS“ atakas naudoja įsilaužėliai, siekdami šantažuoti kūrėjus ir leidėjus ar pakenkti tam tikro asmens ar platformos reputacijai ar pardavimams. Tačiau nuo jų gali nukentėti ir individualūs asmenys, pvz., internetinių žaidimų mėgėjai. Oponentas į žaidėją gali nukreipti „DDoS“ ataką, kad sutrikdytų jo žaidimą. Iš esmės tai nekelia pavojaus saugumui, tačiau gali varyti į neviltį, ypač jei žaidime vyksta didelė konkurencija.
„DoS“ ir „DDoS“ atakos yra nukreiptos į serverius, tad, naudodami VPN, negalite užkirsti kelio į serverį nukreiptai atakai. Tačiau žaidžiant P2P žaidimus, kai tiesiogiai prisijungiate prie kitų žaidėjų, jūsų oponentas gali pažiūrėti jūsų IP adresą ir į jus nukreipti „DoS“ arba „DDoS“ ataką. Laimei, to galite išvengti žaidimo metu naudodami VPN ir tokiu būdu užmaskuodami savo tikrąjį IP adresą. Jei piktavaliai nežinos jūsų tikrojo IP adreso, jie negalės prieš jus naudoti „DoS“ ir „DDoS“ atakų. Be to, tokiu atveju „DDoS“ atakos metu būtų puolamas VPN serveris, kuriame naudojamos nuo „DDoS“ atakų apsaugančios priemonės.
The post „DDoS“ ataka: reikšmė, tipai ir apsauga first appeared on NordVPN.